`
webcenterol
  • 浏览: 950971 次
文章分类
社区版块
存档分类
最新评论

Nt/2000/xp平台下的存储控制模型(Access Control Model)

 
阅读更多

Nt/2000/xp平台下的存储控制模型(Access Control Model

Byleezy_2000 2003-7-16 15:59

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

(-)

鉴于在nt类操作系统下开发程序时有可能涉及操作注册表,读写文件和操控服务等内容,而为使这类程序在不同帐户下皆可正确运行就需要了解nt类操作系统的存储控制模型,所以才写这篇文章。这篇文章所涉及大部分内容可在msdn找到相关说明,小部分内容来自个人经验。错漏之处还望斧正。

基本概念及缩写:

SID(security identifier):用于唯一标识用户或组的变长结构

access token存储令牌包含每个登录帐户的安全信息。每当用户登录系统时,系统为其建立一个access token,而此用户所执行的进程拥有此access token的一份拷贝。Access token 中包含的内容有

l User SID

l Group SIDs

l Privilege Information

l Other access Information

ACE( access control entry) : 包含一系列存储权限及谁拥有这种权限的说明。

ACL(access control list): 一个ACE的链表,用于说明某个安全对象可以被谁以什么样的权限进行操作。

DACLdiscretionary access control list):由安全对象的拥有者(即创建者)控制的ACL

Trustee: a trustee is the user account, group account, or logon session to which an access control entry (ACE) applies

利用这些概念,我们来看一下,对安全对象进行操作要经过那些步骤。(见图1)

这个过程是这样,系统把线程的Access TokentrusteeDACL中每一个ACLtrustee相比较直到满足下列某一个条件:

l 一个ACE清楚的表明某项操作对这个Access Token无效。比如Thread A的访问过程。

l 一个ACE清楚的表明能够接受这个Access Token所要求的操作。比如Thread B要求进行Write ,Read or Execute操作。

l 所有ACE已被检查过但仍然有一项或多项权限没有被清楚的允许。此时称做隐式禁止(implicitly denied)。

另外,如果ACEDACL中有不同的排列顺序,对于某个Access Token,可能有完全不同的结果。比如ACE 2排在ACE 1 前面的话,Thread A将可以对此对象进行写操作。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><shapetype id="_x0000_t75" coordsize="21600,21600" o:spt="75" o:preferrelative="t" path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f"><stroke joinstyle="miter"></stroke><formulas><f eqn="if lineDrawn pixelLineWidth 0"></f><f eqn="sum @0 1 0"></f><f eqn="sum 0 0 @1"></f><f eqn="prod @2 1 2"></f><f eqn="prod @3 21600 pixelWidth"></f><f eqn="prod @3 21600 pixelHeight"></f><f eqn="sum @0 0 1"></f><f eqn="prod @6 1 2"></f><f eqn="prod @7 21600 pixelWidth"></f><f eqn="sum @8 21600 0"></f><f eqn="prod @7 21600 pixelHeight"></f><f eqn="sum @10 21600 0"></f></formulas><path o:extrusionok="f" gradientshapeok="t" o:connecttype="rect"></path><lock v:ext="edit" aspectratio="t"></lock></shapetype><shape id="_x0000_i1025" style="WIDTH: 294.75pt; HEIGHT: 238.5pt" type="#_x0000_t75"><img src="/Develop/ArticleImages/19/19746/CSDN_Dev_Image_2003-7-17933480.gif" o:title="无标题"><font size="3"></font></shape>

(图1 from msdn

1

关于C2-Level Security的一些重要指标

l 必须能通过操控个人用户或用户组的权限来控制对资源的访问。

l 内存需要受到保护,一个进程所释放的内存不能被另外的进程读到。同样文件系统也要保证被删除的文件不能被读到。

l 用户能够用唯一的方式标识自己,All auditable actions must identify the user performing the action

l 系统管理员要能够对安全事件进行检查。但安全事件的存取权限要由authorized administrators进行设定。

l 系统要能够保证自己不被干扰。比如:不允许对正在运行的系统及相关的系统文件进行调整。

分享到:
评论

相关推荐

    OPC DA2.0 OLE FOR PROCESS CONTROL

    OPC DA 2.0(OLE for Process Control Data Access 2.0)是一种自动化数据访问接口标准,设计用于工业过程控制领域的软件开发。该标准由OPC基金会制定,旨在促进不同厂商之间的服务器和客户端无缝协作,简化开发流程...

    ASP.NET源码——[论坛社区]Discuz!NT v2.5 Access For .Net.zip

    NT可能采用了ASP.NET MVC(Model-View-Controller)架构,这是一种设计模式,将应用程序的业务逻辑、用户界面和数据处理分离,提高代码的可读性和可测试性。 3. 数据访问层:Discuz!NT v2.5 Access For .Net很可能...

    Intrusion Detection: Network Security beyond the Firewall

    Access Control in NT NT Rights and Privileges Who Are You in NT? Permissions for NT Files and Directories How Hackers Get around Access Control How to Improve upon Access Control Memco SeOS ...

    Cisco路由器的RAS的配置.pdf

    这包括设置访问控制列表(Access Control Lists, ACLs)来限制特定用户的访问,启用CHAP或PAP身份验证增强安全性,以及配置加密技术如PPP的MPPE(Microsoft Point-to-Point Encryption)来保护数据传输。 总的来说...

    opcxml技术

    OPC XML 技术是OPC(OLE for Process Control)数据访问标准的一种扩展,它主要应用于工业自动化领域,旨在促进不同厂商开发的服务器和客户端之间的无缝互操作性。OPC XML技术是在OPC Data Access 3.0版本中引入的...

    计算机网路技术试题.pdf

    试题中提到的账户组别,如 Administrators、Guest、Users、Everyone,这些组别在Windows NT 2000中用于设置不同的访问权限和控制用户对资源的访问。管理员组拥有最高权限,可以完全控制计算机和网络资源;而Everyone...

    基于单片机的指纹识别门禁系统设计说明.pdf

    nt recognition and management can achieve personnel management. This paper designs a fingerprint recognition access control system based on microcontrollers, aiming to strengthen personnel access ...

    wrk-v1.2:Windows NT 5.2部分源代码-windows source code

    5. **安全与权限控制**:Windows NT 5.2在权限控制和安全性方面有显著提升,例如引入了ACL(Access Control Lists)和UAC(User Account Control)。源代码可以展示这些机制的实现,对理解系统安全有重大意义。 6. ...

    OPC技术资料

    OPC(OLE for Process Control)技术是一种在过程控制行业中实现自动化、控制应用、现场系统/设备与业务/办公应用之间更高互操作性的标准接口协议。OPC Data Access(OPC DA)是OPC规范的核心部分,它定义了如何访问...

    PSTN协议配置.pdf

    为了增强安全性,Access Server可以通过TACACS(Terminal Access Controller Access Control System)服务器进行用户认证。这通常涉及到Windows NT服务器作为TACACS服务器,运行Cisco的Easy ACS 1.0软件。 - **启用...

    三级网络技术计算机等级考试笔记.pdf

    - **MAC地址**:媒体访问控制地址(Media Access Control Address),是网络设备的唯一标识。 - **IEEE 802标准**:包括了多种局域网技术的标准,例如IEEE 802.3以太网标准,IEEE 802.11无线局域网标准等。 - **MTBF...

    上海欧陆 genesis32介绍.pdf

    具体地,它提到了GENESIS32能够运行在多个版本的Windows操作系统上,如Windows 98、ME、2000、XP、NT、CE、Pocket PC、以及Windows 2003 Server等。这说明该软件对操作系统具有很好的兼容性,能够覆盖从传统台式...

    snmp_agent_datasheet.pdf

    - 支持多种操作系统平台,如Windows Vista、2000、XP、NT、Solaris、Linux、Unix、FreeBSD、NetBSD、HP-Unix、OS-2等,并兼容嵌入式操作系统如VxWorks、QNX Nutrino、Windows CE、OSE等。 ##### 3. 额外服务支持 - ...

    2011年网络管理员试题及答案

    ISO/OSI(Open Systems Interconnection Model)七层模型是一种理论模型,用于描述网络通信中的数据传输过程。该模型将通信过程分为七个层次,每一层都有其特定的功能和职责: 1. **物理层**:负责传输比特流,定义...

    网络交换技术考试题(全).doc

    26. **Windows 2000 Server**:它是Windows NT Server的后续产品,不默认安装DNS服务器,但可以手动安装;它可以运行多种路由协议,包括OSPF;安装时通常建议至少有一个主分区。 27. **主机IP地址**:正确的主机IP...

    VB编程资源大全(英文源码 网络)

    This VB6 code cleans the ILOVEYOU virus from systems&lt;END&gt;&lt;br&gt;38 , shras21.zip Custom Control, that lets you have full control of Dial Up Networking&lt;END&gt;&lt;br&gt;39 , FullBrowser.zip : This is A ...

    软考中涉及到的英语。计算机英语专业词汇汇总.pdf

    Integrated Model指的是将多个组件集成在一起的模型,常用于系统设计。Inter Frame Gap是在视频编码中两个连续帧之间的间隔。Interactive Communication指的是交互式通信,如在线聊天和视频会议。Interenterprise ...

    php.ini-development

    Note: Output buffering can also be controlled via Output Buffering Control ; functions. ; Possible Values: ; On = Enabled and buffer is unlimited. (Use with caution) ; Off = Disabled ; Integer = ...

    CISCO 技术大集合

    Configure for HW flow control? [yes]: 3) 是否设置modem: Configure for modems? [yes/no]: yes 4) 是否使用默认的modem命令: Configure for default chat script? [yes]: 5) 是否设置异步口的PPP参数: ...

    python3.6.5参考手册 chm

    Python参考手册,官方正式版参考手册,chm版。以下摘取部分内容:Navigation index modules | next | Python » 3.6.5 Documentation » Python Documentation contents What’s New in Python ...

Global site tag (gtag.js) - Google Analytics